网络安全(黑客攻防)_网络安全通信2

第7章网络安全通信实验7－1－1：允许Ping入本机但无法访问本机资源一般情况下，在局域网几台Windows操作系统主机之间既可以互相Ping，又可以互相访问对方的资源。如果有某台主机不想让其它主机看到自己的资源，可以采用IPsec方法实现。一、实验目的了解设置IPsec策略前后两台主机之间通讯、远程管理之间的区别。二、实验设备3台Windows操作系统主机，最好是Server主机。Win2000Win2000Win2000三、实验步骤1、点击A机桌面上的开始工具栏－运行－输入mmc。2、在控制台界面中点击“文件”菜单－添加/删除管理单元－在“独立”标签卡中，点击“添加”钮，添加“IP安全策略管理”（即IPsec），如图7－1、图7－2、图7－3、图7－4。图7-1控制台界面图7-2添加IPSec管理控制单元图7－3设置IPSec管理单元的管理范围图7－4为本机添加IP安全策略三、实验步骤3、在图7－5的控制台界面中，双击“IP安全策略”，在右边栏选择“安全服务器”－右击－属性，如图7－6。图7－5添加IP安全策略后的控制台界面图7－6设置安全服务器属性三、实验步骤4、在图7－7所示的界面中，选择“规则”标签卡中的“所有IP通讯量”，并点击“编辑”钮。在图7－8所示的界面中，选择“身份验证方法”标签卡。在图7－9所示的界面中，选择“Kerberos”，点击“编辑”钮。在图7－10所示的界面中输入“123456”的密钥，点击“确定”钮。图7－7设置安全服务器规则图7－8设置IP筛选器列表图7－9设置身份验证方法图7－10设置密钥5、在图7－11所示的界面中，选择“安全服务器”－右击－指派。图7－11指派安全服务器规则三、实验步骤6、测试：局域网中的其它主机对这台进行IP安全策略的主机进行Ping指令，发觉Ping得通；再在其它主机上访问这台主机的共享资源，发觉无法访问了。思考：如果其它主机既想Ping通该实验机，又想访问至该实验机的资源，应该如何配置？答案：当且仅当和实验机做一模一样的配置（包括密钥需要与实验机完全一致）。7、扩展：观察安全服务器策略被指派之后A机上流出的数据包有什么变化？四、实验小结在某台实验机上设置IP安全策略之后，如果其它主机想访问该实验机，当且仅当在本机上与实验机做同样的设置才可以。否则，无法正常访问。实验7－1－2：禁止Ping入本机但允许访问本机资源黑客获得受害主机信息的第一步便是获得受害主机的操作系统版本信息，这个过程是通过黑客机向受害主机进行Ping操作并根据其所得的TTL返回值而判断的。所以，如果在局域网中防止其它已经成为跳板的主机对自己的攻击，就需要将ICMP协议禁用。一、实验目的掌握通过设置IPsec的方法限制其它主机对本机的Ping操作，进而限制ICMP协议。二、实验设备3台Windows操作系统主机，最好是Server主机。Win2000Win2000Win2000三、实验步骤1、点击A机桌面上的“开始”工具栏－运行－输入mmc。2、在控制台界面中点击“文件”菜单－添加/删除管理单元－在“独立”标签卡中，点击“添加”钮，添加IP安全策略管理（IPSec）。三、实验步骤3、在控制台界面中，展开“IP安全策略”，右击“IP安全策略”－“创建IP安全策略”，如图7－12。给新的IP安全策略命名为“阻止ping命令”，如图7－13。在复选框中选择“激活默认响应规则”，如图7－14。图7－12创建新的IP安全策略图7－13为新的IP安全策略命名图7－14设置安全通讯请求4、在图7－15所示的界面中，输入“123456”作为密钥，点击“下一步”钮，确定。图7－15设置身份验证密钥三、实验步骤5、在如图7－16的控制台窗口中选择“阻止Ping命令”并双击－在“规则”标签卡中添加规则，如图7－17。图7－16为新的IP安全策略添加规则图7－17设置新的安全规则6、在图7－17所示界面中，按照系统的默认配置一步一步完成，如图7－18。在“身份验证方法”标签卡中输入的密钥为“123456”（与刚才设置的一致），如图7－19。图7－18设置网络连接类型图7－19设置密钥三、实验步骤7、在如图7－20所示的“IP筛选器列表”设置栏处，点“添加”钮，将新的筛选器命名为“notping”，源地址为任何地址，目标地址为我的IP，协议类型为ICMP，点击“确定”。图7－20设置新建规则的筛选器列表三、实验步骤8、返回至IP筛选器列表设置栏，选中“notping”－下一步，选择“需要安全”，如图7－21。再点击“下一步”，按照系统默认的配置设置，直到完成。图7－21设置新建规则的筛选器操作9、在控制台界面中按照图7－22所示进行指派。图7－22指派新建规则三、实验步骤10、测试：网络中其它主机已经无法Ping通A机，但是可以访问A机的资源。思考：如果其它主机既想Ping通A机，又想访问至A机的资源，应该如何配置？答案：当且仅当和A机做一模一样的配置（包括密钥得与A机一致）。四、实验小结由本实验可以看出，使用IP安全策略限制ICMP协议之后，当且仅当两台主机之间的IP安全策略设置得完全一样时，两台机器之间既可以相互Ping通又可以相互访问。否则，两台机器只能互相访问对方资源但无法Ping通。实验7－1－3：利用IPSec筛选表屏蔽危险端口Windows操作系统主机默认有一些不安全的设置，其对应的服务在默认情况下是自启动的，可以通过屏蔽危险端口的方法将其关闭。一、实验目的掌握通过设置IPsec的方法屏蔽本机的危险端口。二、实验设备3台Windows操作系统主机，最好是Server主机。Win2000Win2000Win2000三、实验步骤1、点击A机桌面上的“开始”工具栏－运行－输入mmc。2、在控制台界面中点击“文件”菜单－添加/删除管理单元－在“独立”标签卡中，点击“添加”钮，添加IP安全策略管理。三、实验步骤3、在控制台界面中，展开“IP安全策略”，右击“IP安全策略”－管理IP筛选器列表和筛选器操作，如图7－23。在图7－23的界面中，找到“管理IP筛选器列表”标签卡，添加“IP筛选器列表”：点击“添加”钮，命名为“禁用危险端口”，如图7－24；点击“添加”钮，源地址设置为“任何IP”，目标地址设置为“我的IP”，如图7－25，协议类型设置为“TCP”；在“IP协议端口”设置中，源端口设置为任何端口，目标端口设置为445，并确定。在弹出的界面中，不选择“使用添加向导”如图7－26。图7-23管理筛选器列表和筛选器操作图7-24新建IP筛选器列表图7－25设置筛选器屏蔽端口图7－26确认筛选器列表的设置三、实验步骤4、返回“管理IP筛选器列表和筛选器操作”界面，如图7－27。在图7－27的界面中，切换至“管理筛选器操作”标签卡，如图7－28。在图7－28所示的界面中，添加“筛选器操作”：点击“添加”钮，并将“新的筛选器操作”命名为“阻止高危端口”；将“筛选器操作”类型选择为“协商安全”，如图7－29；再选择“不和不支持Ipsec的计算机通讯”，如图7－30；然后按照系统默认的步骤点击、确定、关闭，如图7－31。图7－27“管理IP筛选器列表和筛选器操作”界面图7－28添加筛选器操作图7－29设置筛选器操作的行为图7－30配置通讯计算机的类型图7－31添加筛选器操作后的界面三、实验步骤5、在图7－32所在的界面中，右击“IP安全策略”－创建新IP安全策略，并将策略命名为“屏蔽危险端口”，按照默认配置完成，如图7－33、7－34、7－35、7－36。选中“屏蔽危险端口”策略，右击－属性，在“规则”标签卡中选“添加”钮，选择刚才添加过的“禁用危险端口”筛选器列表，如图7－37。在“筛选器操作”中选择刚才添加过的“阻止高危端口”，如图7－38。图7－32创建新的IP安全策略图7－33运行安全规则向导图7－34设置安全规则图7－35选择网络类型图7－36设置身份验证方法和密钥图7－37选择筛选器列表图7－38选择筛选器操作三、实验步骤6、指派：在管理控制台界面中选择“屏蔽危险端口”，将它指派，如图7－39。图7－39指派“屏蔽危险端口”规则7、测试：网络中其它主机无法访问到实验机的默认共享资源。三、实验步骤8、推广：可以用刚才类似的方法将UDP协议的445端口，以及TCP和UDP的135端口禁用。思考：如果其它主机既想Ping通实验机，又想使用至实验机的资源和服务，应该如何配置？答案：当且仅当和实验机做一模一样的配置（包括密钥得与实验机一致）。四、实验小结通过使用IP安全策略的方法可以实现对某台主机危险端口的屏蔽。其它主机如果想对实验机的危险端口进行访问，当且仅当它的IP安全策略与实验机设置得完全相同时才可以。由此可见，使用IPsec之后可以允许或拒绝不同类型的通信，而且通过使用IPsec的方法可以实现网络安全纵深防御中的网段安全隔离与维护。实验7－2：利用PGP软件实现电子邮件加密使用TCP/IP系列的很多协议和应用程序是以明文传输数据的，其数据包中的敏感信息会被网络嗅探工具所拦截。加强数据的机密性的一个方法是加密数据，即将要传输的信息转换成为除预期的接受者之外的任何人都不能理解的格式的过程。只有当接收方具有合适密钥的时候才能将密文数据转换成明文数据。加密技术也可以用来验证发送方的身份（签名）和消息的保密性。使用PGP或者GPG软件可以实现这些功能，PGP是用于文件加密和电子邮件加密的软件，是为防止网络中私人邮件被窃听而使用的。一、实验目的了解PGP软件的使用，了解对称加密、非对称加密、数字签名的实现原理。二、实验设备3台Windows主机。Win2000Win2000Win2000三、实验步骤1、首先在A机上安装Mdaemon电子邮件服务器，并创建2个邮箱帐号zff@company.mail和qjy@company.mail。在B机和C机上启动outlook，B机outlook的邮箱帐号设置为zff@company.mail，C机outlook的邮箱帐号设置为qjy@company.mail。三、实验步骤2、在B机上安装PGP。（1）这是选择需要安装的PGP组件，建议全选，如图7－40。然后屏幕提示让你选择密钥存储的目录，使用默认路径即可。图7－40安装PGP软件的界面（2）会出现图7－41的提示，问是不是马上创建密钥？选否。图7－41提示是否马上创建密钥三、实验步骤3、创建一对密钥。（1）在开始菜单―程序―PGP中点击运行PGP。（2）单击“密钥”菜单条—新建密钥，如图7－42。为zff添加姓名、电子邮箱（zff@company.mail），如图7－43。下面是向导界面，按照提示一步一步做，如图7－44、图7－45、图7－46。在“密钥管理密码”界面中输入zff@company.mail的密钥管理密码，如图7－47。点击“下一步”┉直至完成，如图7－48、图7－49、图7－50所示。图7－42PGP密钥管理器主界面图7－43输入密钥名称、邮件地址图7－44选择密钥类型图7－45选择密钥长度图7－46选择密钥时效图7－47输入密钥管理密码图7－48生成zff的密钥对图7－49选择是否发送密钥匙到根服务器图7－50成功生成密钥对三、实验步骤4、在C主机上为qjy@company.mail生成一对密钥。5、B机上导出zff@company.mail的公钥：选择需要导出的密钥—右击—导出(或者在“密钥管理器”的菜单栏上选择需要导出的密钥―导出)。弹出导出对话框，如图7-51。可以将zff@company.mail的公钥导出至B机的桌面。图7-51导出zff密钥.6、同理，在C机上安装PGP并生成qjy的密钥对，导出qjy@company.mail的公钥至桌面。三、实验步骤7、交换zff@company.mail与qjy@company.mail的公钥。（1）在B机的OUTLOOK环境中，以zff@company.mail邮箱身份将刚才保存至本机桌面的zff@